【正文】 的應(yīng)急計(jì)劃。此處所指的信息處理設(shè)備包括任何家庭用的或從單位帶出的任何形式的個人電腦、手持電腦、移動電話、紙張或其它物品。政策的制定要考慮信息安全分類（參見 ）、相應(yīng)的風(fēng)險(xiǎn)和單位的企業(yè)文化等。應(yīng)把操作流程看作正式的文件，其變更需要經(jīng)過管理人員的批準(zhǔn)。 應(yīng)注意確保在責(zé)任單一的區(qū)域內(nèi)，只要有人從事犯罪活動就馬上會被察覺。 只有管制手段要求向開發(fā)人員發(fā)放口令以支持操作系統(tǒng)時，開發(fā)人員才可獲得操作口令。可考慮下列有關(guān)方面： 運(yùn)轉(zhuǎn)和計(jì)算能力的要求 錯誤恢復(fù)、啟動流程和應(yīng)急計(jì)劃 備有經(jīng)過同意的安全管制措施 有效的操作流程 條款中要求的業(yè)務(wù)持續(xù)安排 新系統(tǒng)不會，特別是在月末這樣的高峰期間不會影響現(xiàn)有設(shè)備運(yùn)行的證據(jù) 對新系統(tǒng)對單位總體安全作產(chǎn)生影響已加以考慮的證據(jù) 操作和使用新系統(tǒng)方面的有關(guān)培訓(xùn) 在從事重大開發(fā)項(xiàng)目時，要開發(fā)過程中的所有階段 要就操作功能和使用進(jìn)行咨詢，以確保提出的系統(tǒng)設(shè)計(jì)的最高操作效率。 建立正常的流程來實(shí)施經(jīng)過批準(zhǔn)的后援策略（參見 ）、準(zhǔn)備數(shù)據(jù)的備份、監(jiān)視設(shè)備環(huán)境等。 對通過公共網(wǎng)絡(luò)傳輸?shù)拿舾袛?shù)據(jù)的保護(hù)也要格外小心。為此，需要小心挑選有經(jīng)驗(yàn)且辦事牢靠的承包商進(jìn)行上述作業(yè)。電子商務(wù)很容易受到網(wǎng)絡(luò)上的威脅，從而導(dǎo)致欺詐行為、合同糾紛和信息的泄漏或修改。電子發(fā)布系統(tǒng)，特別是允許反饋和直接存入的系統(tǒng)，要加以嚴(yán)格管制，以做到： 信息的獲得符合數(shù)據(jù)保護(hù)法律的要求（參見 ） 輸入發(fā)布系統(tǒng)的、或系統(tǒng)需要處理的信息要得以完全、準(zhǔn)確、按時的處理 敏感信息在收集和儲存過程中要加以保護(hù) 進(jìn)入發(fā)布系統(tǒng)時，不得進(jìn)入與其相連的但與本操作無關(guān)的其它網(wǎng)絡(luò) 其它形態(tài)的信息 交換 制定流程和管制辦法，對通過聲頻、傳真和視頻設(shè)備等渠道進(jìn)行的信息交換進(jìn)行保護(hù)。 對設(shè)備聯(lián)結(jié)的安全考慮應(yīng)當(dāng)包括如下幾點(diǎn)： 辦公室系統(tǒng)中的信息面臨的安全隱患：如電話記錄或電話會議，呼叫的保密性、傳真的保存、郵件的打開和分發(fā)等 管理信息共享的政策和適當(dāng)管制措施，如公司電子布告欄的使用等 如系統(tǒng)不能提供適當(dāng)級別的保護(hù)，需要進(jìn)行隔離保護(hù)的敏感商業(yè)信息的分類 限制存取涉及被選個人的日記信息，如從事敏感項(xiàng)目工作的員工的信息 系統(tǒng)支持業(yè)務(wù)應(yīng)用的適當(dāng)性，如通訊訂單或授權(quán)等 對允許使用系統(tǒng)的員工、合同方或業(yè)務(wù)伙伴的分類劃分，及其可存取的位置 對使用者的身份進(jìn)行識別，例如是單位的員工還是用于別的目的的合同方等 對系統(tǒng)上的信息進(jìn)行備份保存（參見 和 ） 緊急情況的要求和安排（參見 ） 公共信息系統(tǒng)的安全性 采取措施保護(hù)以電子形式發(fā)布的信息的完整性，防止對其進(jìn)行非法修改而造成的對單位名譽(yù)的損害。關(guān)于安全條件的協(xié)議內(nèi)容要考慮： 對傳輸、發(fā)送和接收進(jìn)行管制和通知的管理權(quán)責(zé) 通知發(fā)件人、傳輸、發(fā)送和接收的流程 包裝和傳輸?shù)淖畹图夹g(shù)標(biāo)準(zhǔn) 快件認(rèn)證標(biāo)準(zhǔn) 遺失數(shù)據(jù)時的責(zé)任 對敏感或關(guān)鍵信息使用經(jīng)過同意的標(biāo)示系統(tǒng)，確保報(bào)表得失意義明白無誤，以及對信息進(jìn)行 適當(dāng)保護(hù) 信息和軟件所屬權(quán)及數(shù)據(jù)保護(hù)的責(zé)任，軟件的版權(quán)合法性和類似的考慮（參見 和 ） 用于記錄和讀寫信息和軟件的技術(shù)標(biāo)準(zhǔn) 任何可用于保護(hù)諸如密碼鍵等敏感物品的特別管制手段（參見 ） 傳遞中媒體的安全管制 信息在物理傳遞過程中（例如，通過郵政服務(wù)或快件傳遞媒體）可能遭受非法存取、濫用或毀壞。敏感信息可能通過無意處理媒體時泄漏出去。 差錯記錄管理 對差錯進(jìn)行記錄并采取糾正措施。管理人員要確保合格的來源，如有名的雜志、可靠的因特網(wǎng)站點(diǎn)或防病毒軟件供應(yīng)商等，來區(qū)分小把戲和真正的病毒。它們要對使用的走向加以辨認(rèn)，特別是有關(guān)業(yè)務(wù)應(yīng)用或管理信息系統(tǒng)工具方面的走向。 如共用相同的計(jì)算環(huán)境，開發(fā)和測試活動可能會導(dǎo)致軟件和信息的變更。因此，要考慮對各部門的權(quán)責(zé)進(jìn)行清楚劃分，以避免未經(jīng)授權(quán)而修改或?yàn)E用信息。 要建立所有信息處理設(shè)備的管理和操作的權(quán)責(zé)及流程。 防止信息和信息處理設(shè)備被非法泄漏、修改或盜用。可考慮如下指導(dǎo)原則： 根據(jù)供貨商建議的周期和規(guī)格對設(shè)備進(jìn)行定期維護(hù) 只允許經(jīng)過授權(quán)的維護(hù)人員對設(shè)備進(jìn)行檢修和維護(hù) 對所有懷疑或?qū)嵲诘墓收霞八械姆婪?、修正維護(hù)措施進(jìn)行記錄 如設(shè)備需要送到單位外面進(jìn)行維修，應(yīng)采取適當(dāng)?shù)墓苤拼胧▍⒁?）。 還要考慮附近發(fā)生災(zāi)難時的保護(hù)方案，如附近樓房著火、屋頂或地板漏水或臨街爆炸等。 交接區(qū)的設(shè)計(jì)應(yīng)做到使送貨人員只在此卸貨而不能走到樓內(nèi)其它區(qū)域去。 顯示本單位敏感信息處理設(shè)備的電話本或通訊錄要避免被公眾獲得。 對敏感信息和信息處理設(shè)備的通路進(jìn)行管制，只有經(jīng)過授權(quán)的人員才得以進(jìn)入。 提供的保護(hù)措施應(yīng)當(dāng)和風(fēng)險(xiǎn)相一致。應(yīng)向使用者強(qiáng)調(diào)，無論在何種情況下，他們都不要試圖對懷疑的漏洞進(jìn)行論證。 使用者應(yīng)得以安全流程和正確使用信息處理設(shè)備方面的培訓(xùn)，以將可能的安全風(fēng)險(xiǎn)降至最低限度。 管理人員要對那些新來的或沒有經(jīng)驗(yàn)的但卻得到授權(quán)可接觸敏感系統(tǒng)的員工進(jìn)行監(jiān)視。針對每個類別，所定義的操作流程要包括如下類型的信息處理活動： 復(fù)制 存儲 以郵件、傳真、電子 郵件方式進(jìn)行的傳送 以聲音，包括移動電話、語音郵件、答錄機(jī)等方式進(jìn)行的傳送 銷毀 含有敏感重要信息的系統(tǒng)其輸出應(yīng)加以恰當(dāng)?shù)姆诸悩?biāo)示。 信息具有不同的敏感度和重要性。 例如，合同應(yīng)當(dāng)規(guī)定： 如何滿足諸如數(shù)據(jù)保護(hù)等方面的法律要求 進(jìn)行哪些安排去確保委外的各方（包括分包方）能意識到其擔(dān)負(fù)的安全責(zé)任 如何維持并檢驗(yàn)單位資產(chǎn)的完整性和保密性 采取哪些物理和邏輯管制手段來限制使用者接觸單位的敏感商業(yè)信息 在發(fā)生災(zāi)難的情況下如何繼續(xù)或得服務(wù) 對委外設(shè)備采取何種水準(zhǔn)的物理安全保護(hù) 審計(jì)權(quán) 條款中所述的條件也可作為此合同考慮的要素。 第三方存取的風(fēng)險(xiǎn)鑒別 存取的類別 允許第三方存取的類別至關(guān)重要。為使其建議的有效性最大化，應(yīng)允許他們接觸全單位管理的各個方面。通常的做法是為每項(xiàng)信息資產(chǎn)都指定一個負(fù)責(zé)人，由他來時時負(fù)責(zé)資產(chǎn)的日常安全。 建立管理框架，以展開并管制單位內(nèi)部信息安全 的實(shí)施。因此，有必要適時加以調(diào)整。管制手段可從本文件或別的管控手冊中選擇；還可以設(shè)計(jì)新管控辦法來滿足具體的需求。同時，也要求供貨商、客戶和股東的參與。信息安全就是保護(hù)信息免受來自各方面的眾多威脅，從而使單位能夠進(jìn)行持續(xù)經(jīng)營，使其對經(jīng)營的危害降至最小程度，并將投資和商業(yè)機(jī)會得以最大化。通過技術(shù)手段達(dá)到的安全很有限，因此要通過恰當(dāng)?shù)墓芾砗土鞒碳右灾С帧? 對安全風(fēng)險(xiǎn)和實(shí)施的管制要進(jìn)行定期回顧，以便 － 考慮運(yùn)營要求和優(yōu)先性方面所發(fā)生的變化 －考慮新的威脅和薄弱環(huán)節(jié) －確認(rèn)所采取的管制手段仍然有效恰當(dāng) 根據(jù)以前評估的結(jié)果和管理層能夠接受的風(fēng)險(xiǎn)程度，上述回顧應(yīng)當(dāng)按不同程度開展。因此，上述的步驟雖然是很好的起點(diǎn)，它并不取代基于具體風(fēng)險(xiǎn)評估而導(dǎo)出的管制手段 。 審核與評估 本政策要求有專人按既定程序?qū)ζ溥M(jìn)行定期檢討和審訂。對各項(xiàng)有形、信息資產(chǎn)及安全程序所在方應(yīng)承擔(dān)的責(zé)任，如持續(xù)運(yùn)營計(jì)劃，也要加以明確定義。擔(dān)此職務(wù)的人要和外部專家保持聯(lián)系，能提出自己經(jīng)驗(yàn)以外的建議。 外方存取可能還會涉及到別的參與方。合同中可考慮包括如下要素： 信息安全的總體政策 資產(chǎn)保護(hù)，包括 1）保護(hù)單位資產(chǎn)的流程，包括信息和軟件； 2）診斷資產(chǎn)是否受到破壞的流程，包括數(shù)據(jù)的損失或修改； 3）確保在合同期末或合同期間任意時間點(diǎn)歸還或銷毀信息的管制手段； 4）完整性和可得性； 5）限制信息的復(fù)制和泄漏 所提供的所有服務(wù)的描述 標(biāo)的服務(wù)水準(zhǔn)和不可接受的服務(wù)水準(zhǔn) 人員調(diào)動的規(guī)定 合同雙方各自的相關(guān)責(zé)任 法律方面的責(zé)任，比如，數(shù)據(jù)保護(hù)方面的法規(guī)，要特別考慮到在合同牽涉到 多國組織件合作時各國法律體系的不同（見 ） 知識產(chǎn)權(quán)和版權(quán)的分配（見 ）及合作成果的保護(hù)（見 ） 存取管制合同，包括 1）允許的存取辦法和管制手段，以及特別標(biāo)記的運(yùn)用如使用者身份證和密碼； 2）對使用者存取和權(quán)限的授權(quán)過程； 3）要求準(zhǔn)備一份批準(zhǔn)使用服務(wù)的個人使用者的名單并載明他們的使用權(quán)限 定義有效的表現(xiàn)評判標(biāo)準(zhǔn)并對其進(jìn)行監(jiān)督和回報(bào) 監(jiān)督、撤銷使用者活動的權(quán)力 對合同權(quán)責(zé)進(jìn)行審計(jì)或指定別人對其審計(jì)的權(quán)力 建立解決問題的升級流程；在適當(dāng)?shù)那闆r下還要考慮應(yīng)急安排 硬件和軟件安裝和維護(hù)方面的責(zé) 任 清晰的回報(bào)結(jié)構(gòu)和業(yè)經(jīng)同意的回報(bào)格式 清晰具體的變化管理流程 確保管制手段得以實(shí)施的物理保護(hù)管制手段和機(jī)制 對使用者和管理者進(jìn)行培訓(xùn)的方法、流程和安全 確保防范病毒軟件的管制手段（見 ） 用于回報(bào)、通知和調(diào)查安全事故和安全違規(guī)的安排 第三方涉及合同的分包 委外資源管理 目標(biāo)：委外加工處理時相關(guān)信息的安全管理。每個資產(chǎn)都要清楚辨明，其主管人員及安全類別（見 ）、現(xiàn)在的位置等都要確認(rèn)并登記。 對信息類事務(wù)（包括文件、數(shù)據(jù)記錄、數(shù)據(jù)文件或軟盤）分類進(jìn)行定義并進(jìn)行周期性審訂的任務(wù)應(yīng)由信息原來的的制造者或指定的主管人員來完成。對握有大權(quán)的員工此類信用調(diào)查更要定期開展。員工數(shù)據(jù)分類和管理方面的職責(zé)也要包括在內(nèi)。發(fā)生過的安全事故可用作安全培訓(xùn)的例子，向使用者解釋會發(fā)生哪些事故，如何反應(yīng)，及以后如何避免此類事件等（參見 ）。此外，要確保能合理、公正地處理那些被懷疑是違反安全操作的員工。可考慮如下的管制措施： 監(jiān)視或禁止來安全區(qū)域的訪問者。無人區(qū)特別要保持隨時警戒。 交接區(qū)的隔離 對交接區(qū)進(jìn)行管制；如有必要，將其與信息處理設(shè)施進(jìn)行隔離，并避免未經(jīng)授權(quán)的進(jìn)入。 采取管制手段來降低潛在威脅的風(fēng)險(xiǎn)，包括： 1）盜竊； 2）火災(zāi)； 3）爆炸； 4）煙霧； 5）水災(zāi)（包括供水故障）； 6）灰塵； 7）通風(fēng)； 8）化學(xué)反應(yīng)； 9）供電中斷； 10）電磁輻射 單位還應(yīng)考慮制定在信息處理設(shè)備附近就餐、飲水和吸煙方面的規(guī)定。可考慮如下管制措施： 如有可能，信息處理設(shè)備的電源線和通訊線都要鋪在地下并提供充足的備用保護(hù)措施。 所有存有諸如硬盤等儲存媒介的設(shè)備在報(bào)廢前都要對其檢查，以確保其內(nèi)存的敏感信息和授權(quán)專用軟件已被清除或覆蓋。要進(jìn)行場地檢查以檢測資產(chǎn)是否被非法挪用。特別是要考慮如下的因素： 對重大變更的辨別和記錄 對此類變化的潛在影響的評估 對提議的變更的正式審批流程 把變更的細(xì)節(jié)通知給所有的相關(guān)人員 追究放棄變更或失敗變更恢 復(fù)責(zé)任的流程 事故管理程序 要建立事故管理責(zé)任流程制度，確保安全事故發(fā)生后作出快速、有效、有序的反應(yīng)（參見 ）。在某些系統(tǒng)內(nèi)，這一能力可能會被濫用來進(jìn)行犯罪活動，或引入未經(jīng)測試的病毒碼。這些預(yù)測要考慮新業(yè)務(wù)和系統(tǒng)的要求及單位信息處理的當(dāng)前和未來走向?？煽紤]如下措施： 制定政策要求使用正版軟件，禁止使用盜版軟件（參見 ） 制定政策防范使用外來的軟件或文件的風(fēng)險(xiǎn)（參見 和 ） 安裝并定期升級防病毒檢測和修補(bǔ)軟件，用其來掃描電腦和媒體并將其制度化 對支持關(guān)鍵業(yè)務(wù)程序的系統(tǒng)軟件和數(shù)據(jù)進(jìn)行定期監(jiān)測。 恢復(fù)流程應(yīng)定期審訂測試，確保其有效性，使其在規(guī)定時間內(nèi)能夠完成恢復(fù)的任務(wù) 重大業(yè)務(wù)信息的保留期及文檔附件是否永久保存等都要加以規(guī)定。可考慮如下指導(dǎo)原則： 任何可再用媒體上保留的過去的內(nèi)容如不需要都要加以清除。同時，要考慮電子數(shù)據(jù)交換、電子商務(wù)和電子郵件在業(yè)務(wù)和安全方面的隱患及對其進(jìn)行管制的要求。因此，要制定使用電子郵件的安全政策和管制辦法，降低使用電子郵件產(chǎn)生的風(fēng)險(xiǎn)。信息可可能通過非法使用者的進(jìn)入而遺失（參見第 9 條款）。（參見 條款， 條款和 條款） 貿(mào)易伙伴間的電子商務(wù)安排應(yīng)通過記錄在案的合同加以約束，從而使雙方都能對合同的貿(mào)易條款作出承諾，包括授權(quán)的細(xì)節(jié)等。 信息移動或儲存程序 建立信息移動或儲存流程，確保信息不被非法泄漏或?yàn)E用。特別是要考慮如下要素： 在適當(dāng)情況下，把網(wǎng)絡(luò)的操作權(quán)責(zé)和電腦操作劃分開（參見 ） 要建立管理遠(yuǎn)程設(shè)備（包括使用區(qū)域的設(shè)備）的責(zé)任和流程 如有必要，采取特別管制措施保護(hù)通過公共網(wǎng)絡(luò)傳送的數(shù)據(jù)的保密性和完整性，并保護(hù)聯(lián)結(jié)系統(tǒng)（參見 和 ）。針對單個系統(tǒng)的備份安排要進(jìn)行定期測試，確保它們符合持續(xù)運(yùn)營計(jì)劃的要求（參見 11 條款）。 采取措施防止并檢測侵略性軟件的侵入。因此，對 這些風(fēng)險(xiǎn)要事先加以辨認(rèn)，并納入和承包方簽訂的合同當(dāng)中。要制定相關(guān)法規(guī)來控制軟件從開發(fā)部門向操作部門的劃撥。對信息處理設(shè)備和系統(tǒng)管制的不充分是引起系統(tǒng)或安全癱瘓的常見原因。 個人電腦和電腦終端及打印機(jī)在無人使用時不得置于上網(wǎng)狀態(tài)，并要求有密碼、密碼鎖或其它的保護(hù)措施。 隨時遵守制造商關(guān)于保護(hù)設(shè)備的指示，例如防止設(shè)備接觸強(qiáng)磁場等。如安裝了發(fā)電機(jī)，應(yīng)當(dāng)按制造商的要求對其進(jìn)行定期檢測。同時應(yīng)考慮設(shè)備的座落和處置。 為安全和防止壞人破壞起見，對安全區(qū)內(nèi)所有工作實(shí)施監(jiān)視。還要考慮險(xiǎn)關(guān)的健康和安全條例及標(biāo)準(zhǔn)。 在適當(dāng)?shù)那闆r下可以考慮下列的指導(dǎo)原則和管制手段： 安